| |
| |||||||
Log-Analyse und Auswertung: Trojaner/Backdoor? Ich vermute einen fiesen Virus.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.08.2008, 14:48
| #1 |
 |  Trojaner/Backdoor? Ich vermute einen fiesen Virus. Hi Leute. Ich habe den Verdacht, dass ich nen Virus auf meinen PC habe. Ich habe zwar noch nichts so richtig davon gemerkt, aber ich bekomme häufiger Viren-meldungen von antivir. (Backdoor und so. wenn ich nochmal die fehler/viren-meldung bekomme, poste ich sie nachträglich) Mein HJ logfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:38:59, on 22.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\CursorXP\CursorXP.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141137933828 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141138078937 O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 8756 bytes Ich hoffe jemand kann mir sagen, was ich machen muss, um den Virus los zu werden. Noch besser wäre natürlich, wenn es blos fehlalarm ist.  Achso. Also ich habe schon NavHelper deinstalliert, weil das anscheinend fehler verursacht hat. Gruß, MrFlames  |
|
22.08.2008, 14:52
| #2 |
  |  Trojaner/Backdoor? Ich vermute einen fiesen Virus. Hi, poste bitte den Report bzw. die Ereignisse von Avira.
__________________Das Logfile ist i.O., wenn du willst können wir schauen ob bei dir ein Backdoor Server läuft. Bei Gelegenheit auch noch das SP3 aufspielen! solong..
__________________ |
|
22.08.2008, 14:58
| #3 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus.Zitat:
Erstmal Danke =) Soll ich mit avira nach viren suchen? habe ich letzten monat gemacht, da war alles in ordnung. Die Viren-Meldungen kamen, als ich 20 minuten den pc laufen lassen habe (habe mittag gegessen ). Da kam etwas mit Backdoor und msmsg.exe, glaube ich. ich habe leider den fehler gemacht und bin nicht weiter darauf eingegangen. |
|
22.08.2008, 14:59
| #4 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. Moment, Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.08.2008, 15:01
| #5 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus.Zitat:
Seltsamerweise kommen die fast nur, wenn ich mal ne längere zeit pc laufen lasse, aber nicht dran bin. |
|
22.08.2008, 15:04
| #6 |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. Brauchst du nicht, öffne das AV-Center und geh auf links Übersicht => Ereignisse. Da kannst du die Ereignisse rauskopieren und hier posten. solong..
__________________ --> Trojaner/Backdoor? Ich vermute einen fiesen Virus. |
|
22.08.2008, 15:10
| #7 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus.Zitat:
 Code:
ATTFilter In der Datei 'C:\WINDOWS\system\msmsgs.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.SO' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen
Code:
ATTFilter In der Datei 'C:\WINDOWS\msmsgs.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.SO' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
|
|
22.08.2008, 15:13
| #8 |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. Hört sich nicht gut an. Erfahrungsgemäß lassen die Dateien sich nicht einfach löschen oder erscheinen immer wieder. Daher gehe wie folgt vor: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system\msmsgs.exe
C:\WINDOWS\msmsgs.exe
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.08.2008, 15:36
| #9 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus.Zitat:
 Habe nach der Virenmeldung nur NavHelper deinstalliert und pc neu gestartet. Also entweder wurde die datei durch antivir gelöscht oder ich hab nen problem  Gruß, Flames |
|
22.08.2008, 17:27
| #10 |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. Ok, dann arbeite folgendes nach der Reihe ab: 1.) SDFix anwenden:
2.) MalwareBytes Anti-Malware :
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.08.2008, 18:37
| #11 |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. also schonmal nr1 Code:
ATTFilter SDFix: Version 1.218
Run by Martin on 22.08.2008 at 19:17
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\lphctg7j0eaae.exe - Deleted
C:\WINDOWS\SYSTEM32\PHCTG7~1.BMP - Deleted
C:\WINDOWS\system32\blphctg7j0eaae.scr - Deleted
C:\WINDOWS\EBAN.EXE - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\index.htm - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\capt.gif - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\danger.jpg - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\down.gif - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\spacer.gif - Deleted
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\ubi15.tmp.exe - Deleted
C:\Dokumente und Einstellungen\Martin\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Martin\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Martin\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\mslagent\2_mslagent.dll - Deleted
C:\WINDOWS\mslagent\mslagent.exe - Deleted
C:\WINDOWS\mslagent\uninstall.exe - Deleted
C:\Programme\akl\akl.dll - Deleted
C:\Programme\akl\akl.exe - Deleted
C:\Programme\akl\uninstall.exe - Deleted
C:\Programme\akl\unsetup.exe - Deleted
C:\Programme\Inet Delivery\inetdl.exe - Deleted
C:\Programme\Inet Delivery\intdel.exe - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\.tt4C.tmp - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\.tt4E.tmp - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\sfsrv.exe.bat - Deleted
C:\WINDOWS\a.bat - Deleted
C:\WINDOWS\wnlmdakqnwt.dll - Deleted
C:\WINDOWS\zip1.tmp - Deleted
C:\WINDOWS\zip2.tmp - Deleted
C:\WINDOWS\zip3.tmp - Deleted
C:\WINDOWS\zipped.tmp - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\s1265.php.bat - Deleted
C:\WINDOWS\a.bat - Deleted
C:\WINDOWS\base64.tmp - Deleted
C:\WINDOWS\bdn.com - Deleted
C:\WINDOWS\bgrqfetx.dll - Deleted
C:\WINDOWS\FVProtect.exe - Deleted
C:\WINDOWS\iTunesMusic.exe - Deleted
C:\WINDOWS\lnvegaow.exe - Deleted
C:\WINDOWS\mssecu.exe - Deleted
C:\WINDOWS\system32\akttzn.exe - Deleted
C:\WINDOWS\system32\anticipator.dll - Deleted
C:\WINDOWS\system32\awtoolb.dll - Deleted
C:\WINDOWS\system32\bdn.com - Deleted
C:\WINDOWS\system32\bsva-egihsg52.exe - Deleted
C:\WINDOWS\system32\dpcproxy.exe - Deleted
C:\WINDOWS\system32\emesx.dll - Deleted
C:\WINDOWS\system32\h@tkeysh@@k.dll - Deleted
C:\WINDOWS\system32\hoproxy.dll - Deleted
C:\WINDOWS\system32\hxiwlgpm.dat - Deleted
C:\WINDOWS\system32\hxiwlgpm.exe - Deleted
C:\WINDOWS\system32\medup012.dll - Deleted
C:\WINDOWS\system32\medup020.dll - Deleted
C:\WINDOWS\system32\msgp.exe - Deleted
C:\WINDOWS\system32\msnbho.dll - Deleted
C:\WINDOWS\system32\mssecu.exe - Deleted
C:\WINDOWS\system32\msvchost.exe - Deleted
C:\WINDOWS\system32\mtr2.exe - Deleted
C:\WINDOWS\system32\mwin32.exe - Deleted
C:\WINDOWS\system32\netode.exe - Deleted
C:\WINDOWS\system32\newsd32.exe - Deleted
C:\WINDOWS\system32\ps1.exe - Deleted
C:\WINDOWS\system32\psof1.exe - Deleted
C:\WINDOWS\system32\psoft1.exe - Deleted
C:\WINDOWS\system32\regc64.dll - Deleted
C:\WINDOWS\system32\regm64.dll - Deleted
C:\WINDOWS\system32\Rundl1.exe - Deleted
C:\WINDOWS\system32\sncntr.exe - Deleted
C:\WINDOWS\system32\ssurf022.dll - Deleted
C:\WINDOWS\system32\ssvchost.com - Deleted
C:\WINDOWS\system32\ssvchost.exe - Deleted
C:\WINDOWS\system32\sysreq.exe - Deleted
C:\WINDOWS\system32\taack.dat - Deleted
C:\WINDOWS\system32\taack.exe - Deleted
C:\WINDOWS\system32\temp#01.exe - Deleted
C:\WINDOWS\system32\thun.dll - Deleted
C:\WINDOWS\system32\thun32.dll - Deleted
C:\WINDOWS\system32\VBIEWER.OCX - Deleted
C:\WINDOWS\system32\vbsys2.dll - Deleted
C:\WINDOWS\system32\vcatchpi.dll - Deleted
C:\WINDOWS\system32\winlogonpc.exe - Deleted
C:\WINDOWS\system32\winsystem.exe - Deleted
C:\WINDOWS\system32\WINWGPX.EXE - Deleted
C:\WINDOWS\tfnslopk.dll - Deleted
C:\WINDOWS\userconfig9x.dll - Deleted
C:\WINDOWS\winsystem.exe - Deleted
C:\WINDOWS\xokvrpwg.dll - Deleted
Folder C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger - Removed
Folder C:\Programme\akl - Removed
Folder C:\Programme\Inet Delivery - Removed
Folder C:\WINDOWS\mslagent - Removed
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 19:32:05
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:57,9e,91,d2,56,d7,ed,80,45,03,1f,ff,8c,5c,d1,d6,d8,3c,23,49,7c,..
"p0"="C:\Programme\DAEMON Tools Lite\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,53,76,f1,3e,39,ab,84,ea,47,d9,c4,9d,65,10,d5,4c,d5,..
"khjeh"=hex:36,aa,47,af,8a,9e,0e,1a,0c,ce,54,e2,d1,ab,b1,9d,be,90,db,19,fa,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:9d,93,ef,48,1b,38,f5,8e,c9,ea,55,b0,7a,3d,2a,29,0a,db,f9,85,65,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:57,9e,91,d2,56,d7,ed,80,45,03,1f,ff,8c,5c,d1,d6,d8,3c,23,49,7c,..
"p0"="C:\Programme\DAEMON Tools Lite\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,53,76,f1,3e,39,ab,84,ea,47,d9,c4,9d,65,10,d5,4c,d5,..
"khjeh"=hex:36,aa,47,af,8a,9e,0e,1a,0c,ce,54,e2,d1,ab,b1,9d,be,90,db,19,fa,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:9d,93,ef,48,1b,38,f5,8e,c9,ea,55,b0,7a,3d,2a,29,0a,db,f9,85,65,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Sierra\\EE-ZDE\\EE-AOC.exe"="C:\\Sierra\\EE-ZDE\\EE-AOC.exe:*:Enabled:EE-AOC"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe:*:Enabled:Sacred"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausfhren"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat:*:Enabled:Die Schlacht um MittelerdeT II"
"C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe:*:Enabled:Sacred Gameserver"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat:*:Enabled:patchgrabber"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\America's Army\\System\\ArmyOps.exe"="C:\\Programme\\America's Army\\System\\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\\Programme\\audioGnome\\Client4.exe"="C:\\Programme\\audioGnome\\Client4.exe:*:Disabled:Client4"
"C:\\Programme\\eMule\\eMule.exe"="C:\\Programme\\eMule\\eMule.exe:*:Enabled:eMule Plus"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\Silkroad\\SilkErrSender.exe"="C:\\Programme\\Silkroad\\SilkErrSender.exe:*:Enabled:FTPSender MFC ?? ????"
"C:\\Games\\FreeSpace2\\FS2.exe"="C:\\Games\\FreeSpace2\\FS2.exe:*:Enabled:FreeSpace"
"C:\\Programme\\THQ\\Titan Quest\\Titan Quest.exe"="C:\\Programme\\THQ\\Titan Quest\\Titan Quest.exe:*:Enabled:Titan Quest"
"C:\\Programme\\Warez\\Warez.exe"="C:\\Programme\\Warez\\Warez.exe:*:Enabled:Warez3"
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"="C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe:*:Enabled:artpschd"
"C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\OLMNOPUN\\CabalTemp\\ESTdnheadless.exe"="C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\OLMNOPUN\\CabalTemp\\ESTdnheadless.exe:*:Enabled:EST! download engine"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\andere\\srobot.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\andere\\srobot.exe:*:Enabled:HookSrv"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\Wichtig!\\LittleFighter2\\LF2_v1.9\\lf2.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\Wichtig!\\LittleFighter2\\LF2_v1.9\\lf2.exe:*:Enabled:lf2"
"C:\\Programme\\LittleFighter2\\LF2_v1.9\\lf2.exe"="C:\\Programme\\LittleFighter2\\LF2_v1.9\\lf2.exe:*:Enabled:lf2"
"C:\\Programme\\Hamachi\\hamachi.exe"="C:\\Programme\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\Programme\\metal oxide software\\Downhill PAKOON! 2.Many Unlimited 2009\\Pakoon2.exe"="C:\\Programme\\metal oxide software\\Downhill PAKOON! 2.Many Unlimited 2009\\Pakoon2.exe:*:Disabled:downhill Pakoon2.MANY unlimited 2009"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server"
"C:\\Programme\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe"="C:\\Programme\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe:*:Enabled:Dungeon Siege Game Executable"
"C:\\Programme\\Metin2\\metin2.bin"="C:\\Programme\\Metin2\\metin2.bin:*:Enabled:metin2"
"C:\\WINDOWS\\system32\\msmsgs.exe"="C:\\WINDOWS\\system32\\msmsgs.exe:*:Disabled:msmsgs"
"C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\4NLRIY7P\\Intel%20chiputil[1].exe"="C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\4NLRIY7P\\Intel%20chiputil[1].exe:*:Enabled:ChipUtil"
"C:\\Programme\\THQ\\Titan Quest Immortal Throne\\Tqit.exe"="C:\\Programme\\THQ\\Titan Quest Immortal Throne\\Tqit.exe:*:Enabled:Tqit"
"C:\\Programme\\Microsoft Games\\Age of Mythology\\aomx.exe"="C:\\Programme\\Microsoft Games\\Age of Mythology\\aomx.exe:*:Enabled:Age of Mythology - The Titans Expansion"
"C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temp\\Rar$EX00.844\\volley.exe"="C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temp\\Rar$EX00.844\\volley.exe:*:Enabled:volley"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\SPIELE\\andere spiele\\Blobby\\volley.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\SPIELE\\andere spiele\\Blobby\\volley.exe:*:Enabled:volley"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Xfire\\xfire.exe"="C:\\Programme\\Xfire\\xfire.exe:*:Enabled:Xfire"
"C:\\Programme\\Ascaron Entertainment\\Sacred\\sacred.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred\\sacred.exe:*:Enabled:Sacred"
"C:\\Programme\\Ascaron Entertainment\\Sacred\\GameServer.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred\\GameServer.exe:*:Enabled:Sacred Gameserver"
"C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"="C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2"
"C:\\Programme\\LittleFighter2_2\\LF2_v1.9\\lf2.exe"="C:\\Programme\\LittleFighter2_2\\LF2_v1.9\\lf2.exe:*:Enabled:lf2"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\andere spiele\\Blobby\\volley.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\andere spiele\\Blobby\\volley.exe:*:Enabled:volley"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"="C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe:*:Enabled:Age of Empires III"
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"="C:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"="C:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\Strategie\\Age of Empires II\\empires2.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\Strategie\\Age of Empires II\\empires2.exe:*:Enabled:Age of Empires II"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Programme\\Gravity\\Requiem\\system\\DebugSystem.exe"="C:\\Programme\\Gravity\\Requiem\\system\\DebugSystem.exe:*:Enabled:DebugSystem"
"C:\\Programme\\Glest_3.1.2\\glest.exe"="C:\\Programme\\Glest_3.1.2\\glest.exe:*:Enabled:glest"
"C:\\Games\\Fussball Challenge 2008 (SPORT1)\\Game.exe"="C:\\Games\\Fussball Challenge 2008 (SPORT1)\\Game.exe:*:Enabled:Game"
"C:\\Programme\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe"="C:\\Programme\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:pandora"
"C:\\Programme\\TmNationsForever\\TmForever.exe"="C:\\Programme\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"
"C:\\Programme\\Freeciv-2.1.4-win32\\civserver.exe"="C:\\Programme\\Freeciv-2.1.4-win32\\civserver.exe:*:Enabled:civserver"
"C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"="C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"
"C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jampDed.exe"="C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jampDed.exe:*:Enabled:Jedi Academy MP Dedicated Server"
"C:\\Programme\\LucasArts\\KotF Jedi Academy Expansion Pack\\GameData\\jamp.exe"="C:\\Programme\\LucasArts\\KotF Jedi Academy Expansion Pack\\GameData\\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"
"C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"="C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe:*:Enabled:Star Wars: Empire at War"
"C:\\Programme\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe"="C:\\Programme\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe:*:Enabled:Star Wars(TM): Empire at War(TM): Forces of Corruption(TM)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Tue 28 Feb 2006 8 ..SHR --- "C:\WINDOWS\system32\7512B216B4.sys"
Sun 1 Jun 2008 56 ..SHR --- "C:\WINDOWS\system32\7B2B38A438.sys"
Sun 1 Jun 2008 5,018 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 25 Apr 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 28 May 2006 401 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv12.bak"
Tue 26 Dec 2006 401 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv13.bak"
Fri 29 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Mon 13 Nov 2006 319,456 A..H. --- "C:\Programme\Gemeinsame Dateien\Motorola Shared\MotPCSDrivers\difxapi.dll"
Tue 25 Apr 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Tue 25 Apr 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Tue 25 Apr 2006 312 A.SH. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Tue 25 Apr 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Tokcicity\Lizenzsicherung\drmv1key.bak"
Tue 26 Dec 2006 782 A..H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Tokcicity\Lizenzsicherung\drmv1lic.bak"
Tue 25 Apr 2006 312 A.SH. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Tokcicity\Lizenzsicherung\drmv2key.bak"
Finished!
|
|
22.08.2008, 18:38
| #12 |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus.Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:43:55, on 22.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\CursorXP\CursorXP.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141137933828 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141138078937 O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 8667 bytes |
|
22.08.2008, 18:50
| #13 |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. Hi, also Neuaufsetzen wäre die sicherste Variante, das schonmal vorab. Du solltest aber auf jedenfall all deine Zugangsdaten bzw. Passwörter von einem sauberen System aus ändern! Du kannst dich jetzt eintscheiden, ob du Neuaufsetzen oder den Versuch zu Bereinigen durchziehn willst. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.08.2008, 18:58
| #14 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus.Zitat:
erstmal muss ich noch Malwarebytes zuende machen ja? ok also.. wie ist das mit den versuch zu bereinigen gemeint? ich werd mir überlegen den pc neuaufzusetzen. hab viele daten drauf die ich noch brauche, wenn ich die übernehme (per mp3 stick oder so), könnten dadurch auch viren übernommen werden (theoretisch)? Gruß, Flames |
|
22.08.2008, 19:00
| #15 | |
| | Trojaner/Backdoor? Ich vermute einen fiesen Virus. MalwareBytes zuende führen, ja. Zitat:
mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu Trojaner/Backdoor? Ich vermute einen fiesen Virus. |
| adobe, avira, backdoor, bho, computer, dll, excel, explorer, fehlalarm, fiese, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, nvidia, pop-up-blocker, programme, rundll, software, system, urlsearchhook, virus, windows, windows xp |
Linear-Darstellung
